Artículo presentado en la
Modelo de Sistema de Gestión de Seguridad de
Información. Caso: Universidad Nacional Agraria
de la Selva
Marchand, William., Bernuy, Walter | william.marchand,walter.bernuy@unas.edu.pe| Universidad Nacional Agraria de la Selva
Problema
¿Cómo debe ser el modelo de Sistema de
Gestión de la Seguridad de la Información
(SGSI) para la Universidad Nacional Agraria
de la Selva?
Objetivo
Diseñar un modelo de Sistema de Gestión de
la Seguridad de la Información (SGSI) basado
en la Norma Técnica Peruana NTP ISO/IEC
27001:2014 y la inclusión de la cultura de
seguridad de la información.
Resumen
La Universidad Nacional Agraria de la Selva atraviesa
actualmente un periodo de cambios normativos y procesos
de licenciamiento y acreditación institucional pero que
lamentablemente, aspectos como, las Tecnologías de la
Información, Planeamiento Estratégico de TI, Gestión de
Proyectos, Seguridad de la Información, no son
considerados en su real valor.
Precisamente uno de los aspectos más importantes es la
seguridad, principalmente referida a la información, quizá
la más relegada en su tratamiento.
Aunque el gobierno peruano exige a las entidades
públicas, mediante Resolución Ministerial N.º 129-2012-
PCM, el uso de la Norma Técnica Peruana ISO/IEC
27001:2008 (actualizado recientemente a la NTP-ISO/IEC
27001:2014); aún existen varias entidades, como el caso
de la UNAS, que prácticamente tienen muy poco o nada
implementado para cumplir con la normativa.
Pero no solo se trata de cumplir con la norma formalmente,
lo importante es definir cómo debe ser el Sistema de
Gestión de la Seguridad de la Información (SGSI) que
encaje con las necesidades y realidad de la institución,
incluyendo la cultura organizacional de seguridad. Este
trabajo de investigación se ha desarrollado un modelo de
SGSI para la UNAS considerando los principales activos,
riesgos, procesos y roles de acuerdo a la NTP ISO/IEC
27001:2014, además de incluir el factor de la cultura de
seguridad de la información, como aspecto clave con
sustento teórico.
El alcance del trabajo abarca hasta la fase 2 de la
metodología de referencia de implementación de la NTP
27001:2014.
Variables
Variable independiente Variable dependiente
Modelo de Gestión de Nivel de cumplimiento
Seguridad de la del Sistema de Gestión
Información de Seguridad de la
Información
Resultados - Modelo propuesto
Implementación incremental
Análisis de riesgos
Se realizaron las siguientes actividades:
• Identificación de activos de información.
• Análisis de riesgos.
• Declaración de aplicabilidad de la NTP ISO/IEC
27001:2014
• Definicion de roles
• Plan de capacitación y concienciación para usuarios
finales.
• Resolución N.º 439-2017-R-UNAS que aprueba plan de
implementación del Sistema de Gestión seguridad de
Información
Limitaciones y retos
• Recursos insuficientes que provee el Estado,
• Débil concienciación de la alta dirección, funcionarios,
docentes y estudiantes respecto a la seguridad de la
información.
• Formular programas de concienciación y entrenamiento
para la comunidad universitaria, asumiendo que el
principal factor de fuentes de amenazas es el usuario.
• Retos: cambio de cultura de seguridad de información, y
la implementación del modelo al 100%.
XVII Jornada
Internacional de
Seguridad Informática.
Bogotá, Colombia. 2017
Conclusiones
• Los activos de información se identificaron considerando
los procesos de la institución (procesos primarios, de
soporte y estratégicos), clasificándose en tres grupos,
cuyo análisis de riesgos evidencia que las amenazas
derivadas de la negligencia o impericia de usuarios y
decisiones institucionales están consideradas como alto
riesgo.
• La declaración de aplicabilidad de la NTP ISO/IEC
27001:2014, verifica el estado de los objetivos de control,
y los posibles a aplicar en la institución. La norma es
obligatoria para las instituciones públicas, sin embargo,
su aplicación depende en parte, del grado de madurez
de cultura de seguridad de información, que es el
elemento diferenciador del modelo planteado, y esta
cultura está relacionada con la principal fuente de
amenazas y riesgos.
• En función a los procesos, activos y a la NTP ISO/IEC
27001:2014 se formula un modelo del SGSI que
involucra roles que deben formalizarse como, el Comité
de gestión del SGSI, el Oficial de seguridad, el
responsable de la seguridad informática y responsable
de seguridad física que pueden recaer en actuales
funcionarios. El nivel de cumplimiento se ha
incrementado.
Principales referencias bibliográficas
• INDECOPI, Norma Técnica Peruana - NTP ISO/IEC
27001:2014, Lima, Lima: CNB-INDECOPI, 2014.
• A. Mariño Obregón, Factores inhibidores en la
implementación de sistemas de gestión de la seguridad de
la información basado en la NTP-ISO/IEC 17799 en la
administración pública., Lima: UNMSM, 2010.
• M. Avila Arzuza, «Implantación de un Sistema de Gestión
de Seguridad de la Información,» Universitat Autonoma de
Barcelona, Barcelona, 2012.
• S. J. Ross, Creating a Culture of Security, USA: ISACA,
2011.
• K. Peterson, «The Relationship Between Corporate
Security and Information Technology Professionals,» de
Security Supervision and Management: Theory and
Practice of Asset Protection: Fourth Edition, Elsevier Inc,
2015, pp. 569-579.